第 9 章 cert-manager Operator for Red Hat OpenShift
9.1. cert-manager Operator for Red Hat OpenShift overview
Red Hat OpenShift 的 cert-manager Operator 是一个集群范围的服务,可提供应用程序证书生命周期管理。Red Hat OpenShift 的 cert-manager Operator 允许您与外部证书颁发机构集成并提供证书置备、续订和停用。
9.1.1. 关于 Red Hat OpenShift 的 cert-manager Operator
cert-manager 项目在 Kubernetes API 中引入了证书颁发机构和证书作为资源类型,从而能够根据集群中工作的开发人员提供证书。Red Hat OpenShift 的 cert-manager Operator 提供了一种支持的方法,可将 cert-manager 集成到 OpenShift Container Platform 集群中。
Red Hat OpenShift 的 cert-manager Operator 提供了以下功能:
- 支持与外部证书颁发机构集成
- 管理证书的工具
- 开发人员能够自助使用证书
- 自动证书续订
对于 OpenShift Container Platform,不要同时使用 cert-manager Operator for Red Hat OpenShift 和社区版本的 cert-manager Operator。
另外,您不应该在一个 OpenShift 集群的多个命名空间中为 OpenShift Container Platform 安装 cert-manager Operator。
9.1.2. 支持的签发者类型
Red Hat OpenShift 的 cert-manager Operator 支持以下签发者类型:
- 自动证书管理环境 (ACME)
- 证书颁发机构 (CA)
- 自签名
- Vault
- Venafi
- Nokia NetGuard 证书管理器 (NCM)
9.1.3. 证书请求方法
对于 Red Hat OpenShift,可以使用 cert-manager Operator 请求证书:
- 使用
cert-manager.io/CertificateRequest对象 -
使用此方法,服务开发人员会创建一个
CertificateRequest对象,其有效的issuerRef指向配置的签发者(由服务基础架构管理员配置)。服务基础架构管理员随后接受或拒绝证书请求。只有接受的证书请求才会创建对应的证书。 - 使用
cert-manager.io/Certificate对象 -
使用此方法时,服务开发人员使用有效的
issuerRef创建一个Certificate对象,并从指向证书对象的 secret 获取Certificate。
9.1.4. 为 Red Hat OpenShift 版本支持 cert-manager Operator
OpenShift Container Platform 4.15 支持以下 Red Hat OpenShift 的 cert-manager Operator 版本:
- cert-manager Operator for Red Hat OpenShift 1.13
9.1.5. 关于 Red Hat OpenShift 的 cert-manager Operator 的 FIPS 合规性
从版本 1.14.0 开始,Red Hat OpenShift 的 cert-manager Operator 专为 FIPS 合规性而设计。当在 FIPS 模式下的 OpenShift Container Platform 上运行时,它使用在 x86_64、ppc64le 和 s390X 架构上提交到 NIST 的 RHEL 加密库。有关 NIST 验证程序的更多信息,请参阅 Cryptographic 模块验证程序。有关为验证提交的 RHEL 加密库的每个版本的最新 NIST 状态,请参阅合规性活动和政府标准。
要启用 FIPS 模式,您必须在配置为以 FIPS 模式操作的 OpenShift Container Platform 集群上安装 cert-manager Operator。如需更多信息,请参阅"您是否需要集群的额外安全性?"
